Crowdstrike рассказал об эволюции киберопераций Северной Кореи
02/12/20
Северной Корее потребовалось всего несколько лет, чтобы развить свой киберпотенциал от исключительно разрушительных кампаний до сложных технических операций. Об этом рассказали ресурсу Dark Reading специалисты Джош Берджесс (Josh Burgess) и Джейсон Ривера (Jason Rivera) из компании CrowdStrike.
Финансовая мотивация отличает Северную Корею от других группировок иностранных государств. Большинство правительственных хакеров мотивированы целями национальной безопасности или национальной экономики, и их деятельность в первую очередь сосредоточена на общем благосостоянии страны.
Но финансовая выгода — не единственный отличительный фактор. Хотя кибератаки стали более изощренными, Северная Корея часто прибегала к разрушительным действиям, начиная с 2007 года. Подобная стратегия не часто наблюдается в других государствах. Северная Корея начала отказываться от разрушительных кибератак после атаки на Sony в 2014 году и перешла к «двойному подходу», который ставит во главу угла как сохранение контроля для текущего режима, так и атаки для стимулирования экономики.
«Во многом это связано с санкциями и большим экономическим давлением, которое США начали оказывать на Северную Корею [...] и чем больше санкций вы наложите на них, тем сложнее им участвовать в законных торговых операциях, которые, конечно, призваны действительно заставить их вести себя лучше на международной арене», — пояснили эксперты.
Северная Корея удвоила свои киберпреступные операции — в 2015 и 2016 годах она атаковала финансовые учреждения, такие как Центробанк Бангладеша , и программное обеспечение системы для передачи финансовой информации SWIFT для получения финансовой выгоды.
Данные атаки подчеркивают еще одну отличительную черту Северной Кореи — каждая атака предназначена для достижения определенной цели. Например, атаки на финансовые учреждения менее привязаны к географическому положению, однако для достижения целей национальной безопасности могут быть атакованы компании в США, Южной Кореи или на территории других региональных противников.
Как отметили исследователи, хакерам из Северной Кореи удалось сократить время, требуемое для перемещения внутри сети. Киберпреступникам из Северной Кореи в среднем требуется 2 часа 20 минут на взлом. Для сравнения, России требуется в среднем 19 минут на взлом, Китаю — четыре часа, а Ирану — пять, чтобы достичь той же цели.